La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Chapitre 8 : La sécurité dans les SI

Publié parArmand Morvan Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Chapitre 8 : La sécurité dans les SI"— Transcription de la présentation:

1 Chapitre 8 : La sécurité dans les SI

2 Objectifs du chapitre Comprendre l’aspect global de la sécurité des SI
Savoir ce qu’est un plan de secours Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité

3 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

4 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

5 Introduction L'objectif de la sécurité des systèmes d'information est de garantir qu'aucun préjudice ne puisse mettre en péril la pérennité de l'entreprise. Cela consiste à diminuer la probabilité de voir des menaces se concrétiser, à en limiter les atteintes ou dysfonctionnements induits, et autoriser le retour à un fonctionnement normal à des coûts et des délais acceptables en cas de sinistre La sécurité ne permet pas directement de gagner de l'argent mais évite d'en perdre. Ce n'est rien d'autre qu'une stratégie préventive. La gestion de la sécurité est spécifique à la structure organisationnelle de l'entreprise et dépend de sa stratégie. Il existe donc autant de politiques, de procédures, d'outils de sécurité que d'entreprises et de besoins sécuritaires.

6 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

7 Notion de sinistre Un sinistre est :
« la détérioration notable des fonctionnalités d’un SI » Un sinistre est possible car un SI est vulnérable Le préalable au sinistre est «l’agression »

8 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

9 4 classes de risques Classe 1 : les accidents Classe 2 : les erreurs
Incendie, inondation, pannes techniques Classe 2 : les erreurs Erreur de saisie manuelle de l’information Erreur de conception et de réalisation des logiciels (bugs)

10 4 classes de risques Classe 3 : les malveillances
Vol, fraudes, sabotage, piratage Indiscrétions Attaques virales Détournement de biens Classe 4 : les risques divers Grève, départ du personnel spécialisé

11 Les risques encourus proviennent donc de 2 sources :
Risques externes Risques internes

12 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

13 La sécurité des SI est un concept à deux dimensions
Dimension technique (informatique) Dimension organisationnelle, managériale et humaine

14 La politique de sécurité correspond à ce que l’entreprise met en œuvre pour assurer la sécurité du SI. L’important est d’assurer la continuité de l’exploitation c’est-à-dire du fonctionnement de l’entreprise.

15 2 aspects dans la sécurité :
Préventif : réduire le degré de vulnérabilité Curatif : mesures de récupération, mesures palliatives

16 Concrètement il s’agit de :
Mettre en place tous les moyens de prévention, de détection des agressions afin d’éviter les sinistres Mettre en place tous les moyens pour limiter l’impact d’un sinistre si celui-ci doit avoir lieu

17 La gestion de la sécurité se fait dans un univers incertain
Les sinistres résultent de causes diverses et parfois de combinaisons de causes difficilement prévisibles

18 Cela signifie que la sécurité doit être abordée dans un contexte global :
La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité des télécommunications La sécurité logique : données et programmes La sécurité physique : locaux, infrastructures, matériels

19 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

20 Assurer la continuité d’exploitation
La sécurité absolue ne peut pas être garantie. Il faut donc anticiper l'arrivée de tels sinistres en ayant prévu un plan de continuité d'entreprise. Lors de la survenance de tel sinistre et dans la panique et le stress, il est évidemment trop tard pour se demander qui fait quoi, où et comment ?

21 Assurer la continuité d’exploitation
Pour ce faire, le plan de continuité d'entreprise est composé : de mesures de prévention, pour diminuer la probabilité d'occurrence d'une défaillance, de mesures de détection et de réaction, en ayant de bon réflexe, de plans de secours, pour diminuer les conséquences du sinistre.

22 Les plans de secours Il n'est pas seulement composé des moyens de secours. Il doit comprendre une structure de gestion de crise, la planification des différentes actions prêtes à être exécutées et des procédures formalisées.

23 Composition des plans de secours
Un plan de secours se décompose en différents plans : 1. un plan de gestion et de communication de crise,

24 Composition des plans de secours
2. un PCA (plan de continuité d'activité) par métiers de l'entreprise, pouvant nécessiter un site de repli hébergeant les activités prioritaires. Le plan de continuité se constitue en quatre volets : l’établissement d’une liste de scénarios d’incidents envisageables (de la panne disque au tremblement de terre), la rédaction des procédures de secours, la mise en place des moyens et dispositions définis, le contrôle permanent de la pertinence et de l’efficacité des scénarios.

25 Composition des plans de secours
3. un plan de retour à une situation normale.

26 Composition des plans de secours
Ces plans doivent être déclinés en fonction des sinistres qu'ils doivent pallier. Un plan de secours " viral " n'aura pas les mêmes caractéristiques qu'un plan de secours " inondation ".

27 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

28 Démarche sécurité Utilisation d’une méthode
En France : Méthode M.A.R.I.O.N MARION = Méthode d’Analyse des Risques Informatiques et d’ Optimisation par Niveaux

29 Démarche sécurité : MARION
1. Analyse des risques 2. Expression du risque maximum admissible 3. Analyse des moyens de la sécurité 5. Choix des moyens Protection, prévention 4. Evaluation des contraintes 6. Plan d’orientation

30 1. Quels risques encourt-on ? (par types, par fonction…)
2. Peut on supporter ce risque ? Quelle perte peut supporter l’entreprise sans remettre en cause sa pérennité ? 3. Quelle est actuellement la qualité de notre sécurité ? (questionnaire d’audit)

31 4. Quelles sont les contraintes majeures à respecter
4. Quelles sont les contraintes majeures à respecter ? techniques (liées aux bâtiments par ex) humaines (motivation, formation par ex) financières (coût)

32 5. Comment améliorer la sécurité en fonction des contraintes
5. Comment améliorer la sécurité en fonction des contraintes ? But : trouver la solution optimale (prévention/protection) en efficacité et en coût. 6. Quel schéma d’action mettre en œuvre ? A partir des résultats de l’étape 5 les orientations retenues sont mises en forme en termes de budgets, de planning, de solution technique  Ce document : expression de la politique de sécurité de l’entreprise.

33 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

34 Mesures de sécurité Il est très difficile de lister l’ensemble des mesures possibles. On peut se donner quelques pistes de réflexion grâce à une analyse par décomposition successive

35 Analyse par décomposition (exemple)
Vulnérabilité (voie d’accès à une ressource du système) Voie d’accès logique (données, programmes) Voie d’accès physique Aux locaux Aux ressources dans les locaux Aux ressources hors des locaux Violation des droits d’accès Usurpation des droits d’accès

36 Analyse par décomposition (exemple)
Auteur de l’agression Nature Individu Incendie Eaux Autres Malveillance Erreurs Vengeance Gain Jeux

37 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

38 Mesures de sécurité A l’intérieur de l’entreprise : Dans ses locaux
Dans ses processus Dans son organisation

39 Mesures de sécurité Sécurité physique des ressources Locaux adaptés
Protection incendie et eaux rigoureuse Sécurisation des accès aux locaux : badge, serrure, Biométrie Détecteurs d’intrusion, radars, alarmes Back-up : sauvegarde de données permettant une récupération (à faire régulièrement !!!) Utilisation d’un onduleur

40 Mesures de sécurité Sécurité logique (données et programmes)
Firewall (pare feu) Appliances Identification des utilisateurs par mots de passe (changés périodiquement) Gestion des accès réseaux

41 Mesures de sécurité Sécurité logique (données et programmes)
Confidentialité par chiffrement Contrôle des erreurs de saisie (procédures de vérification dans le logiciel) Antivirus, anti-spam, anti-spyware,

42 Mesures de sécurité Sécurité générale
Séparation des fonctions (principe FONDAMENTAL du contrôle interne) Garantie sur la compétence et la moralité des individus recrutés Opérer la rotation des individus sur les postes Action de formation sur la sécurité

43 Mesures de sécurité Assurance Infogérance de la sécurité
Couverture des risques classiques (incendie, dégâts des eaux…) Couvertures des pertes d’exploitation, des frais de reconstitution d’information Infogérance de la sécurité Transfert du risque à une société spécialisée

44 Mesures de sécurité Et à dans les relations-échanges avec l’extérieur (clients, administrations, fournisseurs, banques…) ?

45 Plan du chapitre 1. Les enjeu de la sécurité
1.1 Notion de sinistre 1.2 Notion de risques 2. Concept de sécurité des SI 3. Assurer la continuité d’exploitation : le plan de secours 4. La démarche sécurité 5. Les mesures de sécurité 5.1 En interne 5.2 Dans les communications externes

46 Mesures de sécurité VPN
PKI (public key infrastructure) : Structure (matériel + logiciel + homme et/ou prestataire extérieur) qui gère le cryptage, le décryptage et la signature électronique des informations échangés via un réseau de communication

47 Dans les échanges il y a un double besoin :
Besoin de confidentialité sur le réseau Besoin d’intégrité du message (le message est bien celui d’origine) et de garantie de l’émetteur

48 Le chiffrement par clé publique et privée
Pour une entreprise, un logiciel de chiffrement génère 2 clés (2 algorithmes mathématiques) qui sont liées l’une à l’autre : l’une est publique (diffusée à tout le monde) et l’autre est privée (confidentielle et conservée par l’entreprise) ; L’émetteur du message dispose de la clé publique ; le message est ensuite codée grâce à la clé publique qui présente la particularité de ne pouvoir être décodée seulement par la clé privée

49 Le certificat de sécurité
Certificat de sécurité : Document qui sert à faire transiter la clé publique d’une organisation vers un utilisateur. A quoi il sert ? : Il permet d’assurer que la clé publique que l’on se procure est bien celle du destinataire à qui on veut envoyer un message. Le certificat de toute organisation est délivré par une autorité de certification

50 La signature électronique
Empreinte (haché ou condensé) : Résultat de l’application d’une fonction mathématique sur le message (comme la clé RIB mais en plus perfectionné). Ce résultat représente la signature numérique du document Ce résultat est transmis par chiffrement au destinataire qui n’a plus qu’à comparer l’empreinte transmise et l’empreinte réelle qu’il calcule lui même

51 La confidentialité du message est préservée par le chiffrement
l’intégrité et l’émetteur du message sont validés par la signature électronique

52 Les objectifs du chapitre sont ils atteints ?
Comprendre l’aspect global de la sécurité des SI Savoir ce qu’est un plan de secours Connaître les bases de la sécurité physique et logique Connaître quelques mesures de sécurité

Télécharger ppt "Chapitre 8 : La sécurité dans les SI"

Présentations similaires

Le Nom L’adjectif Le verbe Objectif: Orthogram

Le Nom L’adjectif Le verbe Objectif: Orthogram
ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6

ORTHOGRAM PM 3 ou 4 Ecrire: « a » ou « à » Référentiel page 6
Ma surprise du Zoo.

Ma surprise du Zoo.
MASTER ENVIRONNEMENT ET RISQUES /2011

MASTER ENVIRONNEMENT ET RISQUES /2011
© maxime moulins - 2007.

© maxime moulins
Licence pro MPCQ : Cours

Licence pro MPCQ : Cours
Faculté des Sciences de la Santé

Faculté des Sciences de la Santé
Les bases de la COMPTABILITE

Les bases de la COMPTABILITE
Distance inter-locuteur

Distance inter-locuteur
M1 MASTER GESTION Séance 3 Pilotage coûts- délais

M1 MASTER GESTION Séance 3 Pilotage coûts- délais
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?

Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Les systèmes d’informations documentaires et les ENT Éléments de cahier des charges pour les projets nouveaux.

Les systèmes d’informations documentaires et les ENT Éléments de cahier des charges pour les projets nouveaux.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Les numéros 30 60 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60.

Les numéros
Les identités remarquables

Les identités remarquables
D2 : Sécurité de l'information et des systèmes d'information

D2 : Sécurité de l'information et des systèmes d'information
PLAN DU COURS Outils de traitement des risques

PLAN DU COURS Outils de traitement des risques
La politique de Sécurité

La politique de Sécurité
l'approche ergonomique

l'approche ergonomique
Chapitre 8 : La sécurité dans les SI

Chapitre 8 : La sécurité dans les SI

Présentations similaires

Annonces Google